CURSO DE CIBERSEGURIDAD, UN ENFOQUE PRÁCTICO

¡Te damos la bienvenida al curso de Ciberseguridad: un enfoque práctico! Te queremos felicitar

por tomar la decisión de comenzar y esperamos cumplir con tus expectativas.

¿Has oído hablar de los ataques que reciben las grandes compañías o los bancos a través de sus
sistemas informáticos? ¿Sabes detectar un archivo infectado por un virus? O ¿conoces medidas de
seguridad para proteger un equipo o una red de ciberataques?

De acuerdo con una investigación de Cybersecurity Workforce Study (2018), existe un déficit de
más de cien mil profesionales con competencias para proteger los sistemas informáticos de
instituciones públicas y privadas en América Latina y el Caribe, y se tiene previsto que este siga en
aumento.

Este curso ofrecido por la Universidad Carlos III de Madrid y el Banco Interamericano de Desarrollo
(BID), presenta una introducción a la ciberseguridad desde diferentes aspectos de esta disciplina.

Aprenderás cuáles son las principales amenazas de seguridad cibernética existentes y cómo
protegerte contra ellas desde un enfoque práctico, en el que se proporciona el material necesario
para comprender mejor los ataques y establecer contramedidas apropiadas.

Impartido por instructores con años de experiencia en el campo de la seguridad informática, este
curso allanará el camino hacia el área de seguridad de las profesiones relacionadas con tecnologías
de la información (TI).

INTRODUCCIÓN
Hoy en día, la tecnología está en todas partes: tablets, teléfonos, relojes inteligentes, portátiles...
Con todos estos desarrollos tecnológicos, la seguridad debe dar un paso adelante, de lo contrario,
los atacantes se aprovecharán de ello. Sin embargo, la ciberseguridad implica una gran cantidad de
conceptos y no es posible estudiarlos todos a la vez. A menudo, la gran cantidad de acrónimos y la
necesidad de conceptos previos, dificultan la comprensión de estos conceptos. Este curso está
destinado a superar esta brecha. En cada lección, se introducen diferentes aspectos de la
ciberseguridad, tanto desde el punto de vista teórico como práctico. La ciberseguridad no es solo
una cuestión teórica. La práctica es esencial para comprender cómo se pueden realizar los ataques
y cómo se pueden establecer las contramedidas. De esta manera tenemos:

Lección 1 presenta una visión general de la ciberseguridad. Presentando conceptos como la

ciberguerra o el ciberterrorismo.

Lección 2 introduce las bases de la informática forense introduciendo conceptos tales como la
búsqueda de rastros o la extracción de datos.

Lección 3 presenta los fundamentos de la ingeniería inversa para comprender un programa

cuando no se dispone del código fuente.
Lección 4 describe las herramientas y técnicas de ciberdefensa para comprender cómo podemos
proteger nuestro sistema.

Lección 5 presenta los programas malignos más conocidos y los conceptos principales de las
amenazas persistentes avanzadas.

Lección 6 introduce un conjunto relevante de vulnerabilidades, como las que aprovechan ataques
conocidos como el de inyecciónSQL o Cross Site Scripting, junto con conceptos de pentesting y
almacenamiento de vulnerabilidades.

En resumen, queremos ofrecerte una visión general de la ciberseguridad, proporcionándote los

conceptos básicos y las herramientas para comenzar tu carrera en esta disciplina. Puede ser un
poco difícil al principio, pero ni ser un hacker es fácil ni tampoco lo es ser un experto en
ciberseguridad. Este curso está destinado a ser tu punto de partida en esta área. Solo necesitas
conocer conceptos básicos sobre ordenadores y redes. Por todo esto, entra con nosotros en el
apasionado mundo de la ciberseguridad.

Estructura del curso

Lección 1. Ciberseguridad: una visión general

Esta lección ofrece una panorámica sobre el estado de la ciberseguridad e introduce el

impacto que la ciberseguridad tiene en la actualidad, mostrando ejemplos de casos reales
para motivar a los estudiantes en el estudio de esta disciplina. También se mencionan
ciberamenazas como el cibercrimen, para proporcionar una visión general sobre el
panorama de la ciberseguridad.

 Panorámica de la ciberseguridad

 Ciberamenazas: definición, ejemplos y panorama actual

 Eventos de ciberseguridad
 Estudio de ciberamenazas

Lección 2. Informática Forense

En esta lección se introducen los conceptos principales sobre informática forense y

preservación de evidencias. Además, se definen algunas de las trazas forenses más
comunes, así como se muestran herramientas muy utilizadas en este ámbito.

 Conceptos básicos de informática forense y

definición del proceso forense
 Rastros forenses comunes
  Descripción de la redacción de informes
forenses y caso práctico
 Caso práctico

Lección 3. Ingeniería inversa

En esta lección se introducen los principales conceptos sobre ingeniería inversa. En primer
lugar, se define la técnica y la importancia de su uso, junto con la definición de la memoria
de un ordenador y las instrucciones que se utilizan, bases para realizar ingeniería inversa.
Posteriormente se presenta la diferencia entre desensamblado y decompilado, junto con
herramientas y ejemplos de ambas técnicas.

 Definición de ingeniería inversa y la necesidad

de programación en ensamblador
 Descripción de la memoria del ordenador
 Descripción de las instrucciones utilizadas en
la arquitectura x86
 Decompilación y desensamblado
 Decompilando en C y Java
 Desensamblado en x86

Lección 4. Ciberdefensa

Esta lección presenta los principales conceptos sobre ciberdefensa. Tras una introducción a
este tema se describen los cortafuegos, haciendo ejercicios con ITABLES, uno de los
cortafuegos más conocidos en sistemas Linux. Posteriormente se introduce el concepto de
sistema de detección de intrusiones, también haciendo uso de uno de los más conocidos,
SNORT. Finalmente, se proporciona una visión general sobre los sistemas de información y
gestión de eventos (SIEM).

 Definición e introducción a la ciberdefensa

 Definición e introducción a los cortafuegos
 Definición e introducción a los sistemas de
detección de intrusiones (IDS)
 Definición e introducción a los sistemas de
información de seguridad y gestión de eventos
(SIEM)

Lección 5. Malware y amenazas persistentes avanzadas (APT)

En esta lección se exponen los principales conceptos sobre programas malignos y amenazas
persistentes avanzadas (APTs). Primero se definen los distintos tipos de programas
malignos. Seguidamente se introducen herramientas para realizar análisis de programas
malignos. Finalmente se presenta el concepto de APT y se describen algunos casos reales.

 Definición de malware y tipos

  Definición de amenazas persistentes
avanzadas (APT)

Lección 6. Vulnerabilidades y exposiciones

En esta última lección se presentan algunas de las vulnerabilidades más conocidas, tanto a
nivel de software, como de red y web. A nivel de software se describen los fallos de
segmento, las condiciones de carrera y las vulnerabilidades de validación de entradas. A
nivel de red se presenta el sniffing de contraseñas, el secuestro de sesión y el ataque de
denegación de servicio. A nivel de web, se introduce el ataque de Cross Site Scriptiong
(XSS), inyección SQL y vulnerabilidades asociadas con proporcionar demasiada
información. Además, se presenta el concepto de pentesting, junto con una de las
herramientas más conocidas para ello, Metasploit. Finalmente se expone la necesidad de
crear repositorios de vulnerabilidades y se menciona uno de los más utilizados, Common
Vulnerabilities and Exposures (CVE) desarrollado por la Corporación MITRE.

 Definición de vulnerabilidades y exposiciones

 Introducción a vulnerabilidades de software
 Introducción a las vulnerabilidades de red
 Introducción a vulnerabilidades web
 Pentesting
 Presentación de repositorios de
vulnerabilidades: vulnerabilidades y
exposiciones comunes (CVE)

Guía de instalación de la máquina virtual

Instalación de máquinas virtuales

En este curso, dado que sigue un enfoque práctico, trabajaremos con varios programas,
incluidos compiladores, desensambladores o herramientas de pentesting. Para evitar
cualquier tipo de problema, es recomendable ejecutar todos los programas en máquinas
virtuales.

¿Qué es una máquina virtual?

Una definición muy general es que una máquina virtual (MV) permite utilizar un ordenador
dentro de otro ordenador. En otras palabras, es un programa que te permite instalar un
sistema operativo elegido y usarlo como el principal.
Software para instalar / crear máquinas virtuales

Existen múltiples programas que permiten crear máquinas virtuales. MVWare y VirtualBox
son un par de programas bien conocidos. MVWare es comercial y por tanto se recomienda
VirtualBox.

VirtualBox se puede descargar desde: https://www.virtualbox.org/wiki/Downloads

Está disponible para Linux, Windows e iOS y su proceso de instalación es análogo a

cualquier otro software.

Crear máquinas virtuales en VirtualBox

Para evitar la descarga de imágenes .iso que luego hay que instalar en la MV,
recomendamos descargar MV ya creadas con un sistema operativo particular. Estas
máquinas virtuales se pueden descargar desde http://www.osboxes.org/ubuntu/. Sin
embargo, si necesitas descargar alguna MV de un sistema operativo como Windows, que
no está disponible en esta página web, puedes buscarla en Internet, existen múltiples
alternativas.

Una vez que el archivo se descarga y se descomprime, tenemos un archivo.vdi. Luego, en

VirtualBox, sigue los siguientes pasos para ejecutar la MV:

 Pulsa "Nuevo" (botón azul) y elige un nombre y un sistema operativo Linux (por
ejemplo, si descargas Ubuntu_15.04-32bit de osboxes.org, debes elegir Linux 2.6 /
3.x 32bit).
 Pulsa "Siguiente" y elige la cantidad de memoria RAM (1024 MB como mínimo).
 Pulsa "Siguiente" y elige "usar un archivo de un disco virtual existente" y seleccione
el archivo .vdi descargado (por ejemplo, Ubuntu 15.04.Vivid(32 bits).vdi).
 Pulsa "Crear" y la MV estará lista para ser utilizada.
 Selecciona la MV y pulsa "Mostrar" para ejecutar la MV. De ahora en adelante te
darás cuenta de que es lo mismo que arrancar un ordenador.
1.1.1. Objetivos de la ciberseguridad y causas de los riesgos
Se presenta la relevancia que tiene la ciberseguridad, describiendo los objetivos básicos a
considerar y algunas causas, extrínsecas e intrínsecas, de los riesgos que comportan el uso de los
sistemas.
Desde hace poco más de 50 años asistimos a una revolución
que nos ha introducido en la era de la información o, si se
quiere, del conocimiento, y que está propiciada por el uso masivo
de sistemas de información y redes de ordenadores, en adelante
simplemente sistemas. Sus rasgos distintivos son la rapidez
con la que se ha extendido y la profundidad de los cambios que
está provocando en la sociedad e incluso en la vida personal
de los individuos. Por eso, dependemos críticamente de estos
sistemas, de modo que su inoperatividad o malfuncionamiento,
accidental o deliberado, comporta graves consecuencias, incluso
para la sociedad en general, como sucede con las infraestructuras
críticas que soportan, sin posibles alternativas, los servicios
esenciales imprescindibles para el funcionamiento de la sociedad.
Por consiguiente, delincuentes de todo tipo tratan de hallar
vulnerabilidades que, explotadas, les permita obtener beneficios
económicos, políticos, propagandísticos o crear sensaciones
de inseguridad entre la ciudadanía. No es extraño que en el Global
RiskReport 2019 del World Economics Forum, la ciberseguridad
figurase como el quinto riesgo en probabilidad de ocurrencia
y el octavo por su impacto de un total de 30 riesgos contemplados.
Por su parte, el informe del estado de la Unión Europea de
2017, señalaba que en algunos países los
ciberdelitos superaban el 50% del total de delitos
y el 80% de las empresas habían sufrido al
menos un incidente de este tipo. Debemos ahora precisar el concepto
de ciberdelito y de ciberseguridad. Con el primero, entendemos
las actividades delictivas realizadas con ayuda de redes y
sistemas de información o bien contra estos mismos. Así, son
ilícitos para los cuales estos sistemas son el medio para
perpetrar el delito (fraude, interceptación de comunicaciones,
pederastia, etc.) o bien su objetivo (borrado el disco duro,
interrupción del servicio web, etc.). En el primer caso, son
delitos tradicionales vehiculados a través de las redes y sólo
en el segundo nos encontramos ante delitos de nuevo cuño. A su
vez, por ciberseguridad nos referimos al conjunto de técnicas,
sistemas de gestión y otras medidas que pretenden proteger
la información digital, y los medios que la tratan, de incidentes
deliberados o accidentales. Se diferencia de la seguridad de la
información en que esta trata de proteger dicha información
sea cual sea su soporte (papel, electrónico, etc.) o forma
de tratamiento (manual o automatizado). Así definida, la ciberseguridad
tiene como objetivo preservar tres propiedades de la información:
la confidencialidad (o sea, que la información sólo sea revelada
a los usuarios autorizados), la integridad (es decir, que sea exacta
y completa, lo que está relacionado con que sólo sea modificada
por los usuarios habilitados) y la disponibilidad (en otras palabras,
que esté disponible en tiempo y forma exclusivamente para
los usuarios legitimados). No obstante, algunos añaden la autenticidad
(que la información provenga de la fuente alegada), el no repudio
(que el autor no pueda rechazar su autoría), la trazabilidad
(que pueda rastrearse su ciclo de vida), etc.
Para concluir, resta exponer algunas causas de los riesgos que
comporta el uso de estos sistemas. Unas son intrínsecas a la
naturaleza de los mismos y otras extrínsecas. Respecto de las
primeras, cabe destacar su complejidad, que, como es sabido, es
uno de los principales enemigos de la seguridad. Por ejemplo,
un sistema operativo cualquiera tiene millones de líneas de
código, ejecutándose sobre ellas el resto de los programas,
también conformados por otros millones de líneas de código
y a menudo interactuando entre sí. Además, la conectividad
de los equipos (todos conectados con todos), los hace grandemente
interdependientes. De este modo, un equipo infectado, o en poder
de un delincuente, puede dañar grave e instantáneamente
a sistemas situados en sus antípodas. Finalmente, tres factores
extrínsecos influyen negativamente en la ciberseguridad. El
primero es el costo; el segundo, el rendimiento (que se ve resentido
por las medidas de ciberseguridad); y, por último, la usabilidad,
ya que estas medidas dificultan las tareas de los usuarios.
Pero es imposible concluir sin mencionar una última causa
de inseguridad: la enorme carencia de expertos en esta materia
que, aunque variable de unas regiones a otras, en total se estima
en más de un millón de profesionales en estos momentos.

1.1.2. Tipos de medidas de seguridad

En este vídeo se introducen los tipos de medidas de
seguridad, según su actuación, en concreto, prevención,
detección, corrección y recuperación; y según su
naturaleza, es decir, físico, técnico, de gestión y legal.
squemáticamente, se puede afirmar que los ataques explotan
vulnerabilidades de los sistemas de información y las redes
de ordenadores (en adelante simplemente sistemas) para provocar
un daño en estos. Para hacer frente a los riesgos que conllevan
estos ataques nos hemos venido dotando de medidas de seguridad,
definidas como aquellas que tratan de mitigar (pues cancelar
es imposible) dichos riesgos. En ocasiones, estas medidas se denominan
controles, salvaguardas o contramedidas. Es importante precisar
que estas medidas y su aplicación deben ser proporcionales
a la naturaleza de los datos, a los riesgos a los que
están expuestos estos y los sistemas de información que los
tratan, y al estado de la tecnología. Es decir, tan improcedente es
que las medidas de seguridad sean excesivas para los riesgos
que se pretenden mitigar, como que se queden cortas para rebajarlos
hasta un nivel oportuno, que será diferente en cada caso. Atendiendo
a su forma de actuación, pueden ser preventivas (pretenden evitar
los ataques), detectoras (que tratan de detectarlos, mientras suceden),
correctivas (que se ocupan de atajarlos) y recuperadoras (cuya
misión es devolver los sistemas a la situación previa al
ataque). Pero también pueden clasificarse según su naturaleza,
resultando en medidas de tipo físico, técnico, de gestión
y legal. Las primeras eran prácticamente las exclusivas hasta
principio de los años sesenta del pasado siglo. Entonces, los
ordenadores se ubicaban en salas cuyo acceso físico estaba
muy restringido y el lógico reducido a escasos usuarios. Por
tanto, las únicas medidas de seguridad eran las de prevención
y extinción de incendios, de control de inundaciones,
etc. No obstante, todo cambió en el decenio de 1970,
en el que se generaliza la tendencia de conectar los
ordenadores a líneas de transmisión para permitir el
teleproceso. Con ello, se hace imprescindible el uso de medidas de
identificación y autenticación de confidencialidad, de integridad,
o que garanticen el no repudio, es decir que el autor de un
hecho no reniegue después de su autoría. Todas estas medidas
se implementan mediante mecanismos de seguridad, que son dispositivos
físicos (es decir, hardware) o lógicos (o sea software). Por ejemplo,
la identificación se implementa mediante sistemas basados
en contraseñas y cada vez más a menudo mediante sistemas
biométricos y de dos factores. A su vez, la confidencialidad
se consigue mediante mecanismos de cifrado, la integridad mediante
las funciones resumen, también denominadas "hash", y el no repudio
a través de la firma digital. Pero debemos esperar al decenio de los
80 para que los países vayan añadiendo a su ordenamiento
legal disposiciones que regulan esta materia. Se promulgan leyes
de protección de datos, códigos penales que incorporan el
delito informático, leyes de firma digital, de protección de
infraestructuras críticas, etc. Finalmente, ya en el presente
siglo, la ciberseguridad deja de ser una cuestión exclusivamente
técnica para concernir también a los gestores. Es entonces
cuando se extienden los sistemas de gestión de la seguridad
de la información, cuyo paradigma es la familia
27.000 de la Organización Internacional de Estándares (ISO)
o el marco de gestión COBIT. En definitiva, la ciberseguridad
se ha repensado como una ingeniería similar a cualquier otra,
con sus objetivos, recursos y límites legales y normativos,
es decir como aquella que tiene como finalidad el diseño, construcción
y mantenimiento de sistemas seguros frente a errores y amenazas
deliberadas o accidentales, atendiendo a los recursos disponibles
y respetando las obligaciones legales y normas técnicas pertinentes.

1.2.1. Ciberseguridad: una visión general (I)

La ciberseguridad está impactando en gran medida a
nuestra sociedad. En este sentido, hemos escuchado
diferentes términos "ciber", como las ciberamenazas, los
ciberdelitos o el ciberespionaje, pero necesitamos
comprender más claramente el significado de este tipo de
términos. En particular, hay algunas actividades que son
especialmente populares y que vale la pena mencionar,
como los productos con publicidad no deseada.
¡Hola! El objetivo de esta lección es proporcionar una introducción
a la Ciberseguridad y la relevancia e impacto que está teniendo
en nuestra sociedad. Comenzaremos en primer lugar describiendo
la situación actual de las amenazas cibernéticas, qué tipos
de amenazas existen hoy en día y a continuación proporcionaremos
un repaso más de cerca a algunos sucesos históricos relevantes.
Comencemos con la primera parte. De acuerdo con un informe de
amenazas de Symantec, en el año 2016, más
de 429 millones de identidades fueron
filtradas como resultado de errores o ataques cibernéticos
directos. El correo electrónico sigue siendo una forma de comunicación
ampliamente utilizada y más del 50% del correo
electrónico que circula por internet es spam, es decir, correo
electrónico no solicitado que a menudo persigue un propósito
comercial, cuando no estafar a los usuarios. Más de 430
millones de nuevas variantes de malware fueron descubiertas.
Esto hace más de 1 millón por día. El número de nuevas
vulnerabilidades descubiertas aumentó a más de 5.500,
lo que significa que cada día se descubren más
de 15, y esto no incluye aquellas vulnerabilidades que no
son públicas. En el caso de la web, uno de cada 3.000 sitios
se descubrió que contiene malware, y alrededor de ese setenta
y ocho por ciento de todos los sitios web analizados se descubrieron
vulnerables. En total se bloquearon más de un millón de ataques
contra servidores por día. Discutamos brevemente como hemos
llegado a esta situación. Estamos a punto de tener casi todo
conectado a Internet. Para el año 2025 se esperan
alrededor de 50,000 millones de dispositivos conectados.
El software se encuentra en todas partes: software que se ha
vuelto extraordinariamente complejo; sofware que no ha sido desarrollado
para ser seguro; y, finalmente, sofware que no interactúa con
personas que no pueden entender todas las formas en que las
cosas podrían salir mal. Además de todo esto, los ataques se
pueden traducir fácilmente en ganancias económicas para los
atacantes. Todo ello, la enorme cantidad de sistemas interconectados,
su complejidad, nuestro software y el elemento humano propician
que los ciberataques sean una actividad muy atractiva por motivos
económicos o políticos. Además de esto, en los últimos años,
los ataques se han vuelto no sólo más complejos, sino también
más fáciles de realizar por la comercialización de componentes
y servicios de ataque. Hablemos brevemente de lo que se conoce
como la Economía Sumergida del Cibercrimen. Esta es una de
las evoluciones más significativas de los ciberataques en
las últimas décadas. Una noción central aquí es la idea
de mercados. Se trata de lugares donde herramientas y datos
requeridos para realizar operaciones de cibercrimen se pueden
comprar y vender. Muchos de estos mercados son esencialmente
foros o tiendas web accesibles para todos.
¿Qué se puede vender y comprar en estos mercados? ¡De todo! Por
ejemplo, de acuerdo con algunos informes del año 2015,
es posible comprar mil host comprometidos por tan sólo doscientos
dólares. 150 proxies cuestan veinticinco dólares
al mes. Y si lo que buscas es cuentas en Twitter, Facebook o Google,
puedes obtener mil por menos de treinta dólares. Y si lo
que estamos buscando es promoción en redes sociales, los seguidores
y los "me gusta" son extraordinariamente baratos. Pero esto no
es todo. También se pueden comprar servicios tales como una
denegación de servicio distribuida contra una víctima en
particular, solucionadores de retos CAPTCHA, SIMs para teléfonos
móviles, credenciales de usuarios reales o malware y payloads
personalizados para los ataques. ¿Qué tipos de ataques y de actividades
de cibercrimen son las más populares hoy en día y que se
puede construir alrededor de estos componentes? El primero de
ellos es "productos publicitarios a través de spam", es decir,
productos que se venden online y en los que los clientes son
contactados a través de correo no deseado. Esta actividad se
remonta a la década de los 90, y es una de las más antiguas
formas de abuso en Internet. Históricamente, el correo electrónico
ha sido el medio principal para contactar a los clientes potenciales,
aunque en los últimos años el spam está presente en
otras plataformas, como las redes sociales. La lucha contra el
spam se puede realizar en distintos niveles, incluyendo medidas
técnicas, como listas negras de dominios y cuentas de correo
electrónico utilizadas por los spammers y también filtros
de correo. También a través de contramedidas legales como
por ejemplo como laantigua Ley CAN-SPAM en los EE. UU.,
que data del año 2003. A pesar de todo ello, los estudios
sugieren que el spam sigue funcionando. El número de destinatarios
que hacen clic en un mensaje de spam es extraordinariamente
bajo (menos del 1%), pero el número de destinatarios
es muy alto y, además lanzar la campaña es muy barata para
el atacante. Con esto concluimos la lección de hoy aquí y
seguiremos hablando sobre este tema en el próximo vídeo.

1.2.2. Ciberseguridad: una visión general (II)

Los productos de spam dan lugar a un tipo popular de ciberdelito, pero existen muchos otros.
Algunos ejemplos notables son "scareware", "ransomware", fraude de clics o pago en línea. En el
contexto de los términos "ciber", el ciberespacio es un área interesante que es particularmente
útil para obtener información de gran valor para los competidores, bien sean estados o personas
concretas.
¡Hola! !Bienvenidos de nuevo! En este vídeo continuaremos hablando
sobre el cibercrimen. Otra actividad que se hizo muy popular
hace un par de décadas es el conocido como Scareware. Esto
se refiere a ataques en los que la víctima es engañada para
comprar un producto de seguridad que resulta ser falso. Normalmente,
un antivirus que no funciona en absoluto o que a menudo contiene malware.
Los estudios realizados sobre este tema revelan que
alrededor del 2% de las víctimas termina pagando
por este producto. Los falsos antivirus fueron reemplazados
por ramsomware hace algunos años. Ramsomware es un término
genérico que se refiere a software malicioso que impide que
las víctimas accedan a sus sistemas, por ejemplo, cifrando los
contenidos del disco duro. Si la víctima quiere recuperar
el acceso al sistema, debe pagar un rescate (por lo general unos
pocos cientos de dólares). El ramsomware ha proliferado extraordinariamente
en los últimos años, comenzando con el caso de Cryptolocker
al final del año 2013 y 2014, que se cree
que recaudó hasta 4 millones de dólares en rescates.
Otra actividad muy extendida es el conocido como Fraude de
Clicss. Como seguramente saben, la publicidad en Internet es
una industria multimillonaria. Para llevar a cabo este tipo
de fraude, el atacante envía tráfico falso a anuncios y recibe
por ello una parte de los ingresos de los anunciantes. Estos
clics falsos pueden provenir de diferentes fuentes, que pueden
incluir desde usuarios que lo realizan manualmente hasta ordenadores
comprometidos que reciben instrucciones de hacer clic en ciertos
anuncios, y también malware diseñado para redirigir clics a
sitios específicos. Según algunos estudios, hasta el 20%
de todos los clics son falsos. Actualmente, esto se está
contrarrestando a través de distintas medidas técnicas que
identifica que clics son genuinos y cuales son potencialmente
falsos. El último tipo de cibercrimen del que hablaremos son
los ataques contra sistemas de pago y banca electrónica. En
este caso, los atacantes persiguen obtener credenciales de pago,
por lo general detalles de tarjetas de crédito que luego se
puedan usar bien para comprar objetos en otros lugares o incluso
para sacar dinero en cajeros automáticos. Los medios para obtener
dichas credenciales de pago son muy variados
e incluyen el uso de malware instalado en los terminales de
pago de los puntos de venta, que en algunos casos pueden leer
los detalles de la tarjeta de crédito y el número PIN. En
otros casos, el atacante roba directamente de las bases de datos
de pago, como los ataques sufridos por la red de pago de Sony
PlayStation en el año 2011, en el que los atacantes
robaron datos pertenecientes a 77 millones
de víctimas. Algunas familias de malware, como es el caso de
Zeus, han sido especialmente diseñadas con el propósito de
robar credenciales bancarias, por ejemplo leyendo
el nombre de usuario y la contraseña escrita por las víctimas
en los sitios de banca por Internet. Finalmente, para concluir
esta lección hablaremos un poco sobre ciberespionaje. Para
muchos autores, esto se refiere únicamente a un nuevo medio
para lograr un viejo objetivo, es decir, usar las ventajas que
ofrece el ciberespacio para obtener información valiosa de
competidores empresariales, de gobiernos o de ciertas personas.
Puesto que prácticamente toda la información que existe hoy
en día es en forma digital, esta puede ser robada
utilizando medios digitales. Esto incluye propiedad intelectual,
secretos industriales, inteligencia militar, datos comerciales
o información políticamente relevante. Las organizaciones
involucradas en actividades de ciberespionaje
incluyen estados, corporaciones, grupos de ciberdelincuentes
o incluso individuos. Las dos razones clave que hacen que el
ciberespionaje sea muy atractivo son que es de bajo riesgo
y que es muy rentable. Es de bajo riesgo por la dificultad inherente
de atribuir un ataque a una persona u organización.
Y es rentable porque, en muchos casos la campaña se puede
ejecutar con éxito con muchos menos recursos de lo que requeriría
una operación tradicional de espionaje. En los últimos años
se han descubierto decenas de campaña de ciberespionaje.
Estas afectan a organizaciones gubernamentales y militares en
todo el mundo, pero también a sectores industriales clave que
incluyen tecnologías de la información y la comunicación,
materiales y fabricación, ciencias y disciplinas médicas, farmacéuticas
y de la salud, aeroespacial o instituciones financieras y
comerciales. Cuantificar el impacto que tiene una campaña de
ciberespionaje en una organización es muy difícil, pero todos
los informes sugieren que las pérdidas
se encuentran en el rango de millones de dólares por año.
Para concluir este vídeo hemos de hacer énfasis en que el
número y la sofisticación los ataques han aumentado en los
últimos años, y hay razones para creer que no es probable
que esto disminuya en los siguientes. A continuación, tendremos
más dispositivos interconectados, sofware más vulnerable desplegado
por todas partes, ataques que seguirán explotando el elemento
humano y, posiblemente una mayor mercantilización de la tecnología
ofensiva.

1.3.1. Ciberamenazas (I)

Los tipos de ciberamenazas se refieren a una amplia gama de actividades maliciosas que se
pueden clasificar de acuerdo a diferentes criterios. Por ejemplo, las ciberamenazas se pueden
clasificar según su estructura, es decir, estructuradas, no estructuradas y altamente estructuradas.

¡Hola! En este video discutiremos las ciberamenazas y las diferentes

formas en que pueden clasificarse. El término ciberamenaza
se refiere a una amplia gama de actividades maliciosas que
pueden dañar o interrumpir un sistema informático, una red
o la información que esta contiene. Una ciberamenaza difiere
de la noción de ataque, en que este último se refiere a acciones
específicas ejecutadas para comprometer un sistema, mientras
que "amenaza" hace referencia a la posibilidad de un ataque, sus
características y el atacante que está detrás. Las amenazas
se pueden clasificar de acuerdo con múltiples criterios y
esto es útil por muchas razones, particularmente cuando realizamos
una evaluación de riesgos o para preparar defensas. El primer
criterio que discutiremos es la estructura de las ciberamenazas.
Estructura es un término muy amplio que tiene que ver con
la cantidad de recursos, organización y financiación que tiene
el atacante. La estructura intenta modelar la cantidad de recursos
humanos y su experiencia; la cantidad y la sofisticación de
los recursos técnicos. Es decir, software, equipos, infraestructura,
herramientas de ataque cibernético (incluyendo por ejemplo
código malicioso, exploits, credenciales) y
también los recursos financieros que están a disposición del
atacante. De acuerdo a estos podemos identificar tres clases
principales de ciberamenazas: amenazas con poca o ninguna estructura,
amenazas con estructura sustancial y amenazas con una estructura
muy alta. Se dice que la amenaza no está estructurada si se
refiere a individuos o grupos pequeños con poca o ninguna
organización y una financiación nula o insignificante. Los
ataques que ejecutan suelen ser muy fáciles de detectar y se
basan en herramientas disponibles gratuitamente y vulnerabilidades
documentadas. Estos ataques son generalmente oportunistas, lo
que significa que explotan víctimas que sean vulnerables sin
perseguir un objetivo en particular. Las motivaciones para esta
clase de atacantes van simplemente desde reclamar la autoría
del ataque hasta adquirir recursos que luego puedan ser comercializados
para otras actividades de cibercrimen. Contrariamente a estas,
las amenazas estructuradas se refieren a atacantes que están
bien organizados, planificados y financiados. Los ataques llevados
a cabos por ellos a menudo están dirigidos contra
individuos u organizaciones particulares, y generalmente involucran
una campaña extensa de recopilación de información
previa para elegir los elementos particulares que luego se
usarán durante el ataque. Otras dos características importantes
de estas amenazas son que el ataque a veces cuenta con la ayuda
de expertos y que pueden aprovechar las vulnerabilidades
que no son públicas o basadas en día cero. que se llama. Por
último, el término amenaza altamente estructurada está reservado
para aquellas cuya organización y financiación es muy importante.
A menudo estas se asocian con estados nacionales y otros atacantes
que tienen objetivos estratégicos a largo plazo, que van más
allá de una víctima específica o una campaña de ataque
en particular. En este caso, los ataques a menudo involucran múltiples
vectores de infección, tantos técnicos como sociales además
de explotar la ayuda de personas de dentro de la organización.
Algunas operaciones particulares podrían incluso ser acciones
coordinadas por múltiples grupos. Las amenazas altamente estructuradas
están relacionadas con un término que se ha vuelto popular
en los últimos años: Amenaza Persistente Avanzada. Sin embargo,
este concepto es algo controvertido porque no está bien definido,
y también porque se ha usado de manera inconsistente durante
los últimos años. Con esto finalizamos este vídeo
y continuaremos hablando sobre este tema en el próximo.

1.3.2. Ciberamenazas (II)

La estructura de las ciberamenazas no es la única clasificación,  también se pueden clasificar en
función de sus objetivos, por ejemplo, cibercrimen o ciberactivismo; de su público objetivo, es
decir, dirigido y oportunista; o de su origen, es decir, externo e interno.
¡Hola! En este vídeo continuaremos hablando sobre los tipos
de ciberamenazas. El segundo criterio según el cual podemos
clasificar las amenazas es su objetivo. En este caso, tenemos
distintos tipos que se han vuelto bastantes populares en la
última década. El primero de ellos es el ciberespionaje. Su
principal motivación es la adquisición de información valiosa
de la víctima, como la propiedad intelectual, secretos industriales
o datos personales. Las principales víctimas son, en general,
estados y empresas, aunque también algunos individuos podrían
ser atacados. Los grupos de ciberespionaje son generalmente
financiados por estados, pero también por empresas privadas.
El segundo tipo es el ciberdelito y se refiere a una amplia
clase de actividades cuyo principal fin es la ganancia económica.
Se lleva a cabo principalmente por grupos de ciberdelincuencia
y prácticamente todos los usuarios de Internet pueden ser un
objetivo potencial. El ciberactivismo es el tercer tipo e incluye
actividades que persiguen un cambio político o notoriedad
sobre alguna causa. Las víctimas son generalmente gobiernos
y empresas, pero también personas específicas.
Por último, el ciberterrorismo se refiere a actividades terroristas
en el ciberespacio que pueden perseguir cambios políticos,
notoriedad o incluso la adquisición de recursos humanos y
financieros para la organización. Cualquier usuario u organización
podría ser potencialmente una víctima. Finalmente, el término
ciberguerra se reserva para confrontaciones cibernéticas
entre organizaciones militares cuyo objetivo es la dominación
militar o política. El tercer criterio según el cual se pueden
clasificar las amenazas es cómo se elige a
las víctimas. Por un lado, tenemos ataques oportunistas. Estos
son generalmente ataques a gran escala, aunque podrían estar
restringidos a un área geográfica particular. El objetivo
del atacante es comprometer tantos objetivos como sea posible,
solo buscando maximizar el número de víctimas conseguidas.
Los ataques oportunistas generalmente se ejecuta en servidores
maliciosos que envían spam y distribuyen malware indiscriminadamente,
para la creación de grandes botnets, que luego se utilizan para
controlar a las víctimas. El ataque generalmente no es
persistente, en el sentido de que si una víctima no puede ser
comprometida, el atacante generalmente no cambia sus tácticas
hasta comprometerlo. En el otro lado del espectro tenemos ataques
con objetivos precisos, que son muy personales, es decir con
una víctima identificada a priori. Este tipo de atacantes son
persistentes; es decir, trata de permanecer sin ser detectado
el mayor tiempo posible, y está enfocado a controlar el sistema
de la víctima, también está automatizado, aunque la escala
es a menudo más bajo que en el caso de los ataques oportunistas.
Por último, la dimensión final según las cual las amenazas
se pueden clasificar es el origen del atacante; es decir, si
es externo a la organización o no. Las amenazas externas se refieren
a ataques que no tienen un acceso autorizado previo a la red
y que, por tanto, deben obtener acceso utilizando alguna forma
de penetración inicial. Por otra parte, las amenazas internas
se refieren a actividades maliciosas que se originan dentro
de la red objetivo o con la ayuda de alguien que ya tiene acceso
autorizado a recursos internos. Según algunos informes, hasta
el setenta por ciento de los ciberataques pertenecen a esta
última categoría. Para concluir, en este vídeo hemos cubierto
qué tipos de amenazas existen dependiendo de diferentes puntos
de vista. Como dijimos anteriormente, esto es útil cuando se
realiza un análisis de riesgos o al preparar las defensas.
El análisis de amenazas también es muy útil para analizar
el panorama actual de ciberataques. Finalmente, los criterios
que hemos descrito para clasificar las amenazas no son totalmente
independientes. Al contrario, se suelen encontrar fuertemente
relacionados. Por ejemplo, las amenazas no estructuradas generalmente
están asociadas con el cibercrimen, son externas y oportunistas.
De la misma forma, las amenazas altamente estructuradas están
relacionadas con el ciberespionaje, están dirigidas
y a menudo involucran a personas de dentro de las organizaciones.
A pesar de ello, en los últimos años se ha observado una cierta
difuminación de actores y motivaciones, con ataques que involucran
múltiples objetivos, u objetivos que evolucionan con el tiempo.
Además de esto, el hecho de que muchos componentes de ataque
se puedan adquirir fácilmente ha facilitado que ataque sofisticados
puedan ser lanzados por una variedad de actores.

1.4.1. Casos prácticos: El gusano Morris

A lo largo de la historia se han producido muchos ciberataques y hay casos de uso muy conocidos.
Entre todos ellos, el gusano Morris fue uno de los primeros incidentes de seguridad en Internet.
Fue desarrollado en 1988 y, aunque no pretendía ser malicioso, miles de máquinas se infectaron y
muchos sistemas quedaron inaccesibles.

¡Hola! bienvenidos a la lección final de esta charla introductoria

a la Ciberseguridad. Hoy veremos más de cerca tres casos históricos
interesantes. En primer lugar, hablaremos sobre el gusano de
Morris, uno de los primeros incidentes de seguridad en Internet.
Luego exploraremos un tema que ha ido ganando importancia año
tras año: la seguridad de los datos personales. Utilizaremos
para ello el caso de la red de pago de Sony PlayStation en
2011. Y finalmente discutiremos el ataque masivo distribuido
de negación de servicio contra Dyn en el año 2016.
Comencemos con el gusano de Morris, o el gusano de internet,
como se llamó en aquel momento. Este es uno de los primeros
programas informáticos maliciosos que demostró como se puede
utilizar internet para propagarse. Lo escribió Robert Tappan
Morris, entonces un estudiante graduado en la Universidad de
Cornell. El gusano fue lanzado el 2 de noviembre de 1988
desde un ordenador en el MIT. Este es
también un buen caso para entender la diferencia entre intención
y efecto en el caso del malware. Incluso si el gusano no
tenía ninguna carga maliciosa, es decir, no estaba destinado
a causar ningún daño al sistema infectado, un error en
el mecanismo de propagación resultó en un gran ataque contra
internet en aquel momento. La cuestión es que una víctima
podría infectarse varias veces y el efecto general
fue que miles de las máquinas se infectaron e internet sufrió
un particionamiento durante varios días, es decir, que muchos
sistemas se volvieron inalcanzables desde otros sistemas. Una
consecuencia positiva de este incidente fue por una parte, la
creación del centro coordinado del equipo informático de
respuesta a incidentes en el Instituto de Ingeniería del Software
de la Universidad CMU, con el propósito de proporcionar
coordinación central para responder a sucesos como este en
el futuro. A un nivel más técnico, el gusano funcionaba infectando
un ordenador, ya sea a través de un shell remoto o explotando
vulnerabilidades en varios servicios. La máquina infectada
se utilizaba a continuación para atraer una copia del gusano
y comenzar a propagarse desde allí para ello.
Para ello, el programa implementó varias capacidades que incluían encontrar
otros nombres de host para infectar y descifrar contraseñas de
usuario de las máquinas infectadas, y luego utilizar estas
credenciales para conectarse a otras máquinas donde los usuarios
tenían cuentas. Desde 1988 muchos
otros gusanos han poblado internet, algunos de los cuales han
causado un daño económico sustancial, así como pérdidas
y muchas molestias a los usuarios. En la imagen pueden encontrar
una lista de los más populares. Con esto, concluimos este primer
vídeo y en el segundo cubriremos los otros dos incidentes.

1.4.2. Casos prácticos: el PlayStation Network Hack y el

Dyn DDoS
Entre los incidentes de seguridad existentes, las filtraciones de datos ocurren con mucha
frecuencia y PlayStation Network Hack fue una de las mayores filtraciones de datos de la historia
en ese momento. Además, los ataques de Denegación de Servicio Distribuidos (DDoS), que se
explicarán en detalle en la lección 6, son muy comunes hoy en día y muchos servicios y
aplicaciones sufren este tipo de ataque.

¡Hola! ¡Bienvenidos de nuevo! En este segundo vídeo vamos a continuar

con el estudio de varios incidentes relevantes en ciberseguridad.
El segundo caso del que hablaremos hoy es el ataque sufrido
por la red de pago de Sony PlayStation en el año 2011.
Esta fue una de las mayores violaciones de seguridad de
datos en la historia en aquel momento. Según algunos informes,
se expusieron hasta 100 millones de cuentas, que incluían
no sólo credenciales de acceso (es decir, nombres de usuario
y sus contraseñas), sino también mucha información de identificación
personal, como el nombre, correo electrónico, dirección
fecha de nacimiento, etc., además de detalles de la tarjeta
de crédito. El ataque afectó también a Qriocity,
que es el servicio de transmisión de Sony. Aparte de esta pérdida
masiva de datos, todo el servicio estuvo no disponible durante
23 días, por lo cual la compañía tuvo que compensar
a los usuarios afectados. De acuerdo con Sony, este fue el resultado
de un plan cuidadosamente planeado, un ataque muy profesional
y altamente sofisticado. Las violaciones de datos como esta se han
volviendo cada vez más comunes en los últimos años. Algunas
de las más relevantes incluyen las que afectaron a Yahoo
en el año 2013 y 2014, con
1.000 millones y 500 millones de cuentas respectivamente.
Los ataques han afectado a muchas otras organizaciones.Por
ejemplo, eBay sufrió en 2014 una pérdida
145 millones de cuentas. MySpace, en 2016
una de 163 millones de cuentas
o Friend Finder Network, también en 2016, con
412 millones de cuentas. En el enlace que pueden
encontrar en la imagen podrán echar un vistazo a estos y
a otros casos relacionados. Por último, el incidente final que
discutiremos es una serie de ataques de negación de servicio
distribuidos que ocurrieron a finales de 2016.
Quizás, el más significativo de todos ellos es el que afectó
a Dyn, un proveedor de DNS, el día 21 de octubre. El servicio se congestionó debido a múltiples
peticiones DNS procedentes de decenas de millones
de direcciones IP. Esto era posiblemente el mayor ataque de
denegación de servicio distribuida registrado hasta la fecha.
con un ancho de banda estimado de 1.2 Terabytes por
segundo. Las máquinas atacantes fueron dispositivos de la llamada
Internet de las cosas, o IOT, como impresoras, cámaras de
internet, routers, etc, controlados por la botnet Mirai.
La lista de servicios afectados es bastante grande e incluye
Amazon, PayPal, Twitter y Airbnb. Además de medios de comunicación,
como la BBC, la CNN, Fox News, y otros medios de comunicación,
como el New York Times, The Guardian, Wall Street Journal y Wired.
También se vieron afectados servicios de entretenimiento
como HBO o Netflix; sitios de juegos como PlayStation o
Xbox online y otros servicios como Spotify o Twitter.
La herramienta principal detrás de estos ataques es la botnet
Mirai. Los sistemas infectados fueron dispositivos conectados
a internet, como cámaras, routers, impresoras e incluso
monitores para bebés. La infección es bastante simple y
se basaba en el uso de nombres de usuario y contraseñas predeterminados
de fábrica en estos dispositivos. A parte del ataque contra
ellos, Mirai fue utilizada en otros ataques de denegación
de servicio distribuidos a finales del año 2016.
Estos incluyen el ataque contra el blog de Krebs, el web host
francés OVH y también la infraestructura de Internet
de Liberia. Para concluir con este caso, me gustaría comentar
que el código fuente de Mirai fue divulgado públicamente
y partes de él se han utilizado posteriormente para otros
ataques más recientes.

2.1.1.Evidencias digitales
Las evidencias digitales son información de valor probatorio. El análisis forense digital a veces se
confunde con la recuperación de datos, pero hay algunas diferencias. También las situaciones en
las que se pueden aplicar estas técnicas son cuestiones a considerar.

¿Qué son las pruebas digitales? La evidencia digital es cualquier

información de valor probatorio que se almacena o transmite
en forma digital (datos en binario a bajo nivel). Los dispositivos
digitales registran evidencias de todo lo que haces. Los dispositivos
digitales incluyen: portátiles, ordenadores de escritorio, teléfonos
inteligentes, consolas, televisores inteligentes, cajeros automáticos,
etc. Muchas veces, el análisis forense digital se confunde con
la recuperación de datos, pero debemos distinguir ambos términos.
Informática forense se centra en recuperar evidencias que
el usuario ha ocultado, eliminado o simplemente dejado atrás
mientras realizaba sus actividades. Las pruebas pueden ser
inculpatorias o exculpatorias. Por el contrario, la recuperación
de datos está enfocada en recuperar información que se liberó
por error o se perdió durante la sobrecarga de energía. Por
lo general, sabes lo que estás buscando porque, de lo contrario,
este proceso puede ser realmente costoso tanto en tiempo como
en recursos y podría llevar a un callejón sin salida.
Ahora dos definiciones principales. Forense se refiere a la
aplicación de la ciencia para resolver un problema legal. Y
forense digital corresponde a "la aplicación de la informática
y los procedimientos de investigación para un propósito legal
que implica el análisis de las evidencias digitales, la cadena
de custodia, la validación con matemáticas, el uso de
herramientas validadas, la repetibilidad y la presentación
de informes y la posible presentación por parte de los expertos",
tal como definió Zatyko en 2007.
En cuanto a su aplicabilidad. La informática forense se puede aplicar
en investigaciones penales. Por ejemplo: pornografía infantil,
robo de identidad y homicidios. Pero también se puede aplicar
en litigios civiles, e inteligencia.
Un principio importante es el Principio de intercambio de Locard:
Dice que cuando las personas entran o salen de la escena
del crimen dejarán o se llevarán algo, por ejemplo, ADN, huellas
dactilares, cabello o fibras. Esto también es cierto para las
evidencias digitales, como pueden ser archivos de registro y
artefactos del sistema.
Se deben considerar algunos consejos finales. La ciencia forense
es nueva y algunos procedimientos aún están en desarrollo, por
lo que el analista forense necesita estar actualizado. Como analista
forense necesitamos ser objetivos, neutrales y seguir las evidencias
donde sea que conduzcan. Como experto, debemos estar cualificados
para emitir una opinión y debemos ser un comunicador efectivo.

2.1.2 Principales conceptos de la ciencia forense

computacional
Conceptos como las cabeceras o los pies de archivos son esenciales en informática forense.
Entre todos los conceptos, el grabado de datos conocido como data carving, es uno de los
más relevantes, así como su relación con los discos duros magnéticos y los discos de estado
sólido.

¿Sabes si tu ordenador tiene TRIM activado? Sigue los pasos indicados en la siguiente
página web.

Bits y bytes son conceptos esenciales a considerar. En el nivel más bajo

del ordenador, la información se almacena en bits y bytes. Un bit
almacena un valor de 0 o 1. 1 byte es un grupo de 8 bits.
Los conceptos de encabezado y pie de fichero también son notables
en este contexto. El encabezado y pie de página del fichero
describen el tipo de fichero. A menudo se denominan firma del
archivo. Estos corresponden a los primeros y últimos bytes del
fichero respectivamente, los primeros bytes se refieren al encabezado
y los últimos al pie del fichero.
Ahora hablemos sobre la recuperación de los datos. La recuperación
de datos es el proceso de extraer una colección de datos de
un conjunto de datos más grande. Las técnicas de recuperación
de datos se utilizan con frecuencia durante una investigación
digital cuando se analiza el espacio del sistema de archivos no
asignado para extraer ficheros. Garfinkel y Metz propusieron
una taxonomía para la recuperación de ficheros.
En primer lugar explicaremos las técnicas principales. Encabezado
y pie de fichero: es un método para buscar fichero a partir
de datos y procesar utilizando encabezados y un pie de fichero
de distintos tipos de fichero. Encabezado y tamaño máximo del
archivo: es un método para buscar ficheros a partir de datos
sin procesar utilizando distintos encabezados y tamaño máximo
del tipo de archivo. Encabezado y tamaño embebido del fichero:
es un método para buscar ficheros a partir de datos sin procesar
utilizando encabezados distintos y la longitud del fichero
que está incrustada en el propio fichero.
Otros métodos utilizados son los siguientes: propiedades estadísticas
de la entrada (por ejemplo, entropía, que es la aletoriedad
de la entrada); semántica de los datos, que se basa en el análisis
lingüístico del contenido del archivo (por ejemplo, si algunas
frases en español se identifican en un documento HTML
escrito en inglés, el buscador semántico podría concluir
que las frase en español son parte de un fichero asignado previamente);
otro método es la información de la estructura del sistema
de ficheros (su uso requiere conocimientos de Sistemas Operativos
a bajo nivel). Existen más métodos, aunque hemos mencionado los
más relevantes. Un punto interesante es identificar si las técnicas
de recuperación de datos son igualmente efectivas en un disco
magnético, llamado HDD, que en un disco de estado sólido,
llamado SSD. La efectividad se basa el funcionamiento de
los discos HDD y SSD. En el caso de usar SSD, las
posiciones en la memoria no se pueden sobrescribir si no se han
eliminado previamente. Primero se borran los datos que fueron
marcados para su liberación y posteriormente se escriben
las zonas de memoria que hayan sido previamente borradas. Para
el borrado de los datos se utiliza el comando TRIM. Por el
contrario, HDD aplica una técnica muy diferente para escribir
o acceder a los datos. Cuando se accede a los datos hay que
volver las partes mecánicas del disco, lo que consume tiempo.
Con respecto a la eliminación de los archivos, cuando se elimina
algo, en lugar de borrarlo de forma permanente, los datos unicamente
son desvinculados. El concepto de TRIM es esencial para la recuperación
de datos porque cuando se aplica, los datos ya no se pueden
recuperar. Esto sólo aplica a los discos SSD.